Am 20. August 2025 hat der Bundesrat BACS, BAKOM und SECO beauftragt, bis Herbst 2026 eine Vernehmlassungsvorlage zur Cyberresilienz digitaler Produkte zu erarbeiten. Parallel dazu gelten für Schweizer Hersteller, die in die EU exportieren, bereits ab 11. September 2026 harte Meldepflichten aus dem europäischen Cyber Resilience Act. Eine Bestandsaufnahme, wer wann betroffen ist – und was Unternehmen jetzt nicht aufschieben sollten.
Die wichtigste Klarstellung zuerst
Viele Schweizer Hersteller digitaler Produkte arbeiten mit einer falschen Annahme: Der Cyber Resilience Act sei ein EU-Gesetz und betreffe die Schweiz nicht. Das ist in doppelter Hinsicht falsch. Erstens betrifft der EU-CRA seit dem 11. Dezember 2024 jeden Schweizer Hersteller, der Produkte mit digitalen Elementen in die EU exportiert – unabhängig vom Unternehmenssitz. Zweitens arbeitet der Bundesrat seit August 2025 an einer eigenen Schweizer Gesetzgebung, die sich inhaltlich am EU-CRA orientieren wird und voraussichtlich ab 2027 oder 2028 eigene Pflichten für den Schweizer Binnenmarkt schafft.
Für Schweizer Unternehmen bedeutet das: Es geht nicht um die Frage, ob regulatorischer Handlungsbedarf besteht, sondern um die Frage, welche Fristen zuerst greifen – die europäischen oder die schweizerischen. Für die meisten Hersteller mit EU-Geschäft ist die Antwort eindeutig: die europäischen.
Was der EU-CRA seit Dezember 2024 vorschreibt
Der europäische Cyber Resilience Act trat am 11. Dezember 2024 in Kraft. Er gilt für «Produkte mit digitalen Elementen» – eine bewusst breite Definition, die Hardware und Software umfasst, sofern sie eine direkte oder indirekte logische oder physische Verbindung zu einem Gerät oder Netzwerk haben. Konkret fallen darunter Smart-Home-Geräte, industrielle Steuerungen, Router, vernetzte Medizingeräte, Software-Bibliotheken, Betriebssysteme und Cloud-Services mit Geräte-Anbindung.
Die Kernpflichten sind anspruchsvoll. Hersteller müssen Cybersicherheit «by design» in den Entwicklungsprozess integrieren, eine Schwachstellen-Behandlung über den gesamten Produktlebenszyklus gewährleisten, technische Dokumentation und Konformitätserklärungen erstellen, und bei Klasse-I- oder Klasse-II-Produkten zusätzlich eine Konformitätsbewertung durch eine akkreditierte Stelle durchführen lassen.
Die Sanktionen bei Verstössen sind erheblich: Bussgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Zum Vergleich: Die Schweizer Informationssicherheitsgesetz-Sanktionen bewegen sich bei maximal 100’000 Franken. Der Unterschied in der regulatorischen Feuerkraft zwischen Bern und Brüssel ist bei digitalen Produkten damit noch grösser als bei NIS2 und ISG.
Die kritischen EU-Fristen für Schweizer Hersteller
Der CRA sieht eine gestaffelte Inkraftsetzung vor, die Schweizer Unternehmen sorgfältig beachten sollten.
11. September 2026: Meldepflichten für ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle werden wirksam. Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die zuständige Behörde und an ENISA melden. Diese Frist ist 21 Monate nach Inkrafttreten des CRA und markiert den ersten harten Stichtag.
11. Dezember 2027: Vollständige Anwendbarkeit aller CRA-Anforderungen. Ab diesem Zeitpunkt dürfen nur noch Produkte auf dem EU-Markt in Verkehr gebracht werden, die den CRA-Anforderungen vollständig entsprechen, inklusive CE-Kennzeichnung und dokumentierter Konformitätsbewertung.
Für Schweizer Hersteller, die in die EU liefern, ist insbesondere die September-2026-Frist zeitkritisch. Wer bis dahin keine funktionierenden Prozesse zur Schwachstellen-Erkennung, -Bewertung und -Meldung etabliert hat, riskiert nicht nur Bussgelder, sondern auch Reputationsschaden gegenüber EU-Kunden, die zunehmend CRA-Compliance ihrer Lieferanten einfordern.
Die Schweizer Vorlage: Stand und Zeitplan
Ausgelöst durch die Motion 24.3810 «Durchführung dringend notwendiger Cybersicherheitsprüfungen» der Sicherheitspolitischen Kommission des Ständerats hat der Bundesrat am 20. August 2025 einen konkreten Arbeitsauftrag erteilt. Das Bundesamt für Cybersicherheit (BACS) erarbeitet federführend in Zusammenarbeit mit dem Bundesamt für Kommunikation (BAKOM) und dem Staatssekretariat für Wirtschaft (SECO) bis Herbst 2026 eine Vernehmlassungsvorlage.
Die inhaltliche Stossrichtung ist bereits skizziert: Die neue Gesetzgebung soll Sicherheitsanforderungen für Produkte mit digitalen Elementen festlegen, die Marktüberwachung regeln und Grundlagen für ein Import- und Vertriebsverbot unsicherer Geräte schaffen. Der Bundesrat betont dabei, dass man sich am internationalen Kontext orientieren und den administrativen Aufwand für Unternehmen «möglichst tief» halten wolle. Laut BACS soll die Gesetzgebung zudem sicherstellen, dass «international tätige Schweizer Unternehmen durch abweichende Vorgaben in anderen Ländern keine zusätzlichen Belastungen erfahren» (Medienmitteilung Bundesrat, 20. August 2025).
Realistischer Zeitplan: Nach der Vernehmlassung im Herbst 2026 folgt die parlamentarische Beratung – typischerweise 12 bis 24 Monate. Mit einem Inkrafttreten des Schweizer Gesetzes ist deshalb frühestens Anfang 2028 zu rechnen, wahrscheinlicher 2029.
Wer in der Schweiz konkret betroffen ist
Die Betroffenheit lässt sich in drei Gruppen einteilen, mit jeweils unterschiedlichem Handlungsdruck.
Gruppe 1: Schweizer Hersteller mit EU-Exporten. Diese Unternehmen unterliegen bereits dem EU-CRA, unabhängig von der Schweizer Gesetzgebung. Relevante Branchen sind Medizintechnik, Industriesteuerung, IoT-Gerätehersteller, Software-Anbieter mit EU-Kunden, Automotive-Zulieferer und Hersteller vernetzter Konsumgüter. Für sie sind die EU-Fristen (September 2026, Dezember 2027) die operativ relevanten.
Gruppe 2: Schweizer Hersteller ohne EU-Export, aber mit Lieferbeziehungen zu EU-exportierenden Unternehmen. Diese Unternehmen fallen formal nicht direkt unter den CRA, sehen sich aber zunehmend mit Compliance-Anforderungen ihrer Kunden konfrontiert, die ihrerseits CRA-pflichtig sind. Die Lieferketten-Wirkung ist real und operativ bereits spürbar.
Gruppe 3: Rein binnenmarktorientierte Schweizer Hersteller. Diese Gruppe ist aktuell am wenigsten unter Druck, wird aber durch das zukünftige Schweizer CRA-Pendant ab 2028/2029 eigene Pflichten erhalten. Wer heute Produkte für den ausschliesslich Schweizer Markt entwickelt, hat etwa drei Jahre Zeit zur Vorbereitung.
Die Kategorisierung ist nicht statisch. Viele Schweizer KMU verkaufen primär schweizerisch, liefern aber an Grosskunden, die in die EU exportieren. Sie gehören dann faktisch zu Gruppe 2 mit entsprechend zeitnahem Handlungsdruck.
Der kritische Unterschied zwischen Produkt-Regulierung und Betreiber-Regulierung
Der CRA markiert einen regulatorischen Paradigmenwechsel, der in der Diskussion oft untergeht. Bisherige Cyber-Regulierungen wie das Informationssicherheitsgesetz oder NIS2 richten sich an Betreiber von Infrastrukturen und Diensten. Der CRA hingegen reguliert das Produkt selbst. Das hat weitreichende Konsequenzen.
Für Hersteller bedeutet diese Verschiebung, dass sie erstmals rechtlich dafür verantwortlich sind, was mit ihren Produkten nach Auslieferung passiert. Security-by-Design wird von einer Best-Practice zur rechtlichen Pflicht. Schwachstellen-Management über den gesamten Produktlebenszyklus wird verbindlich. Unsichere Produkte dürfen nicht mehr in Verkehr gebracht werden – mit Marktaufsichtsbehörden, die unsichere Produkte aktiv vom Markt nehmen können.
Für Schweizer Unternehmen, die Cybersicherheit bisher als operationelles Risikothema betrachtet haben, ist das ein strategischer Einschnitt. Cyberresilienz wird zu einem Produkthaftungs-Thema, vergleichbar mit Produktsicherheit im klassischen Sinne. Die Verantwortung wandert vom Betrieb in die Produktentwicklung.
Was Schweizer Unternehmen jetzt tun sollten
Erstens, Produktportfolio-Analyse durchführen. Welche Produkte fallen unter den CRA? Welche Risikoklasse ist einschlägig (Standard, Klasse I oder Klasse II)? Wo sind die grössten Compliance-Lücken? Diese Bestandsaufnahme ist die Grundlage für alle weiteren Massnahmen und sollte im Q2 2026 abgeschlossen sein.
Zweitens, Schwachstellen-Management aufbauen. Bis September 2026 müssen funktionierende Prozesse zur Erkennung, Bewertung und Meldung ausgenutzter Schwachstellen stehen. Das umfasst technische Infrastruktur (Bug-Bounty-Programme, Security-Kontaktadressen), organisatorische Prozesse (Meldewege zu ENISA), und rechtliche Rahmen (Non-Disclosure-Vereinbarungen mit Sicherheitsforschern).
Drittens, Software Bill of Materials (SBOM) etablieren. Der CRA verlangt vollständige Transparenz über Software-Komponenten, inklusive Open-Source-Abhängigkeiten. Ohne strukturiertes SBOM-Management ist Compliance praktisch nicht darstellbar. Tools und Prozesse müssen aufgebaut werden, insbesondere für die Supply-Chain-Überwachung.
Viertens, bevollmächtigten EU-Vertreter benennen. Schweizer Hersteller ohne EU-Niederlassung benötigen einen rechtlich verantwortlichen Vertreter in der EU. Dieser Schritt wird oft übersehen, ist aber operativ zentral für die CRA-Konformität.
Fünftens, Security-by-Design in Entwicklungsprozesse integrieren. Wer heute neue Produkte entwickelt, die 2027 oder später auf den Markt kommen, muss CRA-Anforderungen bereits jetzt einplanen. Nachträgliche Compliance-Anpassungen sind teurer als frühzeitige Integration.
Sechstens, Governance-Strukturen klären. Wer im Unternehmen verantwortet CRA-Compliance? Die Antwort ist selten eindeutig. CISO, Produktmanagement, Qualitätsmanagement, Rechtsabteilung – alle sind beteiligt, aber operative Führung braucht klare Zuständigkeiten.
Die strategische Lesart
Der Schweizer Ansatz des Bundesrats ist pragmatisch und folgt dem bewährten Muster: Anlehnung an EU-Regulierung, aber mit Schweizer Eigenständigkeit und Fokus auf administrative Schlankheit. Das ist politisch verständlich und wirtschaftspolitisch sinnvoll, schafft aber eine zeitliche Diskrepanz, die für Schweizer Hersteller problematisch ist.
Die gute Nachricht: Wer jetzt EU-CRA-Compliance aufbaut, erfüllt mit hoher Wahrscheinlichkeit auch die zukünftigen Schweizer Anforderungen. Die schlechte Nachricht: Wer auf das Schweizer Gesetz wartet, verpasst die harten EU-Fristen 2026 und 2027 und riskiert erhebliche wirtschaftliche Konsequenzen.
Für Geschäftsleitungen bedeutet das eine klare Priorisierung. Cyberresilienz digitaler Produkte ist kein IT-Thema mehr, sondern eine strategische Fragestellung mit Haftungs-, Markt- und Reputationsdimensionen. Die Unternehmen, die jetzt handeln, werden einen nachhaltigen Wettbewerbsvorteil haben – gegenüber denen, die auf weitere regulatorische Klarheit warten.
Wer NIS2 verstanden hat, kennt die Regel bereits: In der Schweiz reguliert Brüssel mit. Beim CRA ist diese Regel noch ausgeprägter, weil die Durchsetzung über Produktverkehr läuft und nicht über Betreiber-Aufsicht. Abwarten ist keine Option.
